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20.06.03 Sy 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Spezifikation des Ablaufs des Softwar e -Updates fiir elektronisctie SteuergerSte durch Fla<ih- 
Programmierung uber serielle Schnittstellen 



Stand derTechnik 

Der Einsatz von Flash als Speichertechnologie fiir Programm- und Datenstand nimmt in 
Seriensteuergeraten zu. Dies ermSglicht Software-Updates ftir Steuergerate im Feld durch 
Neuprogrammierung des Flash-Speichers Qber serielle Sclinittstellen, zum Beispiel mit einem 
Flash-Programmierwerkzeug Uber die zentraie Off-Board-Diagnoseschnittstelle des Fahrzeugs. 
Damit ist ein Software-Update ohne Ausbau des SteuergerStes aus dem Fahrzeug mSglich, was 
zu erheblichen Kosteneinsparungen gegenflber einem Steuergerateaustausch filhrt. 

Bei dieser Art der Flash-Progranunierung sind insbesondere im Service der Fahrzeuge und im 
Bereich sicherheitsrelevanter elektronischer Steuergerate hohe Sicherheits- und 
Zuverlassigkeitsanforderungen zu eiflillen. 

Beschreibung der Erfindung mit Vorteilen 

Nach einigen technischen Randbedingungen der Flash-Programmierung wird im folgenden ein 
mSglicher Ablauf fiir die Flash-Programmierung von SteuergerSten Uber die serielle Off-Board- 
Diagnoseschnittstelle prinzipiell dargestellt 

Far die Spezifikation und den Test des Zusammenspiels zwischen Flash-Programmierwerkzeug 
und Steuergerat eignen sich Zustandsautomaten. Damit kann der hSufig komplexe Ablauf 
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M,t den dei^rtemgesetaenFiash-TechnoloEien ks„„^ 

Oder n.„p™^i,„ "-8-- Fla^^^^ 

. ""sgelagertwerden. °"**"°'^-B«'">hdesMilm>c<,nft,>Ue„- 

AuOer diesen R.„dl«dtogu„ge„ „erde„ in den folgenden Ah».J, ■ 
oderspe,ch..pezifi.,eDe^,^«^,.,.„,^,,^;^'-^"-'-'^^^^^ 

1-2 Flash-Programmierung fiber die Off Rn««i t>- 
We.ende.be„0,e«,.^/^,.j;,^^3t°T'^'°'^^^^^ 

P.od„.«o„n„d<„Se„<„*„,,C:r:~p"™°"""=^'''-^^^ 
was z. B. durch die Vert„.eruD« der „.. '^«*-J^«™.mien=ei,en zu verkiln^n, 

Dies kann durch die F JCZ! ""'8— "»-d=n Fia.h^egme„,e „«g,ich i«. 

~Fia.i,.P,C^^ZT"°™:*"-^'-^^ 

werden. r>a.e. wi^d^Zt^" ttT"" """"""^ ^ ^"-""^-'^ 

Sesn,e„.e„ a.ge.eg, we^entTs^n °~ 
AJIe Programmteile des Mikrocontroliere die fiir H.v 

"g Ober d.e Ofr-Board-D.agnoseschnittstelle wMhrend der Flash- 
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Programmierung erforderlich sind (Bild 1), .Ussen zusan,men mit den Flash- 
weiteren Flash-Segment abgelegt werden. 



Sieh. Bild I: Sofhrare-Aichitefctur ftr Steuergerate 

." den folg^den Absch.itt«, ^ de, ™ ROM abge,eg,e Basisumfang als SU«.Up-B,ock 
undder,nFl.shabgelegteB„is„„fc„,^,Bo.,-Bl.ckb«.ioh„et 

una Boot-Block zusaimnen stellen die fiir die Flash Procr..™ • . 

r.- , *^'asJi-Frogrammierung Uber die Off-Boarrf 

D,a^.e.ctar«s«,.„o.™digeSoft^^^^ 

D,e A„ft.H„„g „ Start-up. ^d Boot-Blook is, a.s ve^Wedenen 0«„de„ sinnvol, slkT 
mA^.h„,n ,.5 e,„gega,ge„. AuBetde™ ka„„ B„ot-B,oc. de.a.=t„ene Statu, de, F,a.i. 

Bldr 7 ."'t "'^"'^ -v„^de,.ate Basiaf„„.,i„„an,.t des Statt-U^ 

Bl<»^ und ..neK™,„„g a^dieHari^t^Variant. de. s.euerge,.ts to„„ dageg«, L 
^nga„st,gere„ ™d nicht „e„ p.g,an^i,^3te„ ROM ahgelegt »atde„ 
D« Fa>,n,™g«„„n^ a,s T.U d« P.g^. i,a.e„.ta„ds. hingegen wi,. i„ einen. 
^•y-^' abgelegt L, den fc,genden A^ohnitten „.d ^.ehen den fCgenden 
Programmteilen unterschieden: 

• Stait-Up-Block 
•Boot-Block 

• Programmstand 

• Oatenstand. 



Siehe Bild 2;SpeicherzuteiIung filr Start Up-Block Boot Rl^^i, d 

up oiocK, Boot-Block. Programm- und Datenstand 
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1'3 Sicherheitsanforderungen 

ProgrammierwerkKugangestoBei,. vomriasB 
Neb.„,v,„,„en„o>wendige„P,a„si6i,i«..pK,f„„g,„_«„.^iM„^ 

B^e.»3.«„d Softw„c-Upda.e.. <,^,g.«^ „erde„ „...e„. ,el. Ei„I ,„ dl 
f^l^on und ™ Sen,,, waitere Si.herhei.s™a«™tae„ erforferlich. Aus Haftu„gsgrt,„de. 

r : "'"^'---^ ".«SUch«v«.i„de^ .^j^,„ r.., 

und nachgewiesen werden kSnnen. 

Daher WW der na.h-P„.^,™,i.^^„,.„ 

Va^chlusselungsverfthren abgasiohert: die Aud,e„«aie™„g „„d die Sig„a«,^f,„g. 
• Authentisierung 

Nach der PlausibilitStsprQfung wird die Prufung der eigentlichen Zu^riff.h. k.- 
...ae«..Oie3«Se.i«„,.A„.^^^^^^^^^^^^ 

^^^m. Oder Da.ens.ands «be^«,«. Diescr Scin« wi^ auch Sig„a.„,«fi.„, 

Ob der „e„ n, p™g^„ie.„de P^gram.. ode. Da,e„s.and z„. S.eue^e..«. 
«^«^p.«.„„dobde.„enz„p.g^„i_deP.og.a.„.„de.Da.e„s.a„dLd.r 
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•Mscben „„d Programmhrei. vo« Flash-Segmenten 

.a^^ch^ch ,„s Plash progra„,.ie«e„ P,og™... „„d Da.«,s,™ds Whne. ZT,^ 
Datenstands in, Flash abgeleet (Bild a, x, . Pn>gramm- und des 

B,oc.d,e..v,e™„,d:;r^rrz:sr"'*-^'~-"^^^^ 



vor 



Und Siehe Biid 4: 



A^^.™.BHc..Ve.c.„sse,„„,ve.aH^^„,_3,„^^^.^^^,.^^^^^^ 



1-4 Verfugbarkeitsanforderungen 

Dadi.FU«h-Pro^a™„i„„„,o,„di.OfF-Boa^.D,-^^^„i^,,,^^ 
SMP»taprUfl,„g.„ fth^„ ^„ Abb™ch der F,a*.p„g™,„,..^g. 

Mr da„ nn^^^ Ablaufs de. F.ash-P™gra™™en,„g s,.«dash.ib die Verf,gbaHc.i. dW 
F™k.,„„ u„..a,.«,da„.ba.„ U.s.„da„ a„ a.^s.„e. Dies. A„ft>^e.rir ' 
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folgendeo B«,sp,el durch einen Zustondsaulomaen dargestellt. 

B.Me>= Ablauf d=rP,ash.Progr.„™,en.„g rur P,og™.„. „„a DatensUnd 

Bdd S zeig, ei„«, „agHch.„ Abhuf die F,a.h-Prog™™„i.™„g d« i„ Bi,d 4 darg«d^e„ 

Programm- und Datenstands. rscsiejiien 

Nad, erfolgreicha™ Abschlu. der Ftah-Progr,..ie„.„, „W ab., etaen R«.. vo. F,ash- 
^o^»™cHc«„gder(n.rga„,ae.Mi^„„^,,.„^,«.^^^ 



S..heBUd5= Z-«^e™d06e,g^ged«Boo,-BIoc,csbeid.rFl,sh-Prog,^„i.™,g„<,„ 
Programm- und Datenstand "uerungvon 



P«>gn»m.c™„g des Boot-Blocto selbs. wird folge»de„ Al»ctai„ eingegaog™. 

IS Auslagerung aod Ftosh-Pr»gr.mmfen,ag das Boot-Blocto 

Absch,ieBe„d^,,ei„Verfahr«,z„rP,ash.p„g^„,en,„gd.sBoo..B.ocks.„a«Mich 
d^ge^cH. w.dc„ wow die b.„te a„gesp™oh.„.„ 

Teoh„olog,e und d,= Vcmigbarkei Wo,.re™„g™ bertlckslchtf g. werie, 
Zunaehs. ..s der a^ive Bo„..B,oek „^„d der Flaab-Prog^ 
Spe,ci,erb.as.e,„ des Mik,„co„»ol,e. auagelagen we^, d. h. der Boc-Blcck n^uss 

d r F a.b-ft.„9.a.™e™„g «e„ RAM-Bereich «folg«,. A„s=hlie...d »W da„„ der Bo* 
Block ausdem RAM ausgefUhrt maerooot- 

Auch nach feWgeschlagener Fla.h-Prog™„™i.™g aes Boot-Blocks mu« ei„ Neua.^ 
Progra..,e„b,auft „,g,ieh sei„. Zur Brbatang de, Vertdgbartei. is. „aeb .,„«n Abbruch .in 
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w!^" !r!'r ''"^ '"'^"""^ 

.,W.ederherstellen« des Bqot-Blocks erfolgen. 

Beispiel: Abiauf der Flash-Programmierung fur den Boot-BJock 

w,rd zwischen altem und neuem Boot-Block unterschieden. 



Siehe Bi]d 6: 



Schritte bei der Flash-Programmierung des Boot-Blocks 



Das Veifahren unterscheidet drei wesentliche Schritte: 

.Schri« 2.2: Zwischenablage des neuen Boot-Blocks in Flash-Segn,ent C 

DieserSchrittumfasstdieZustMadeLoschendesFlash-Se^mentsC P • 

Boot-Blocks in Fla^h c ^ i>egments C, Programmieren des neuen 

^Jt Blocks .„ Flash-Seg^ent C und Signatu^rOfUng r.r den neuen Boot-Block in Flash- 

rTast sZ^TpTtr ''""^ "^'"^ ^^"^ Boot-Block in 

Flash-Segment A d,e Flash-Progranunierung emeut gestartet warden. 

•Schritt 3: ^g»^mieren des neuen Boot-Blocks Hnrohi^ • 

nach Flash-Segment A Flash-Segment C 

Dieser Schritt umfasst die ZustMnde LOschen des Flash-Seement, A P 

S,g„at„n.n*mg filr d«, neuen Bort-Blook In Fl«h-Seg™ent A 
Wiederaufsetzen magJich ist ^onnation em 
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AnschheBend erfolgt die Aktivlerung des neuen Boot-Blocks in Flash . 
Deaktivierung des Boot-B,ocIcs i. RAM. Danach .uss dTe ^ "'^ 

Datenstand, wie in Bild 5 beschrieben. erfoigen ~og^-..erung rur den 



Schritt 1 
1.1 



^■.He„d^B«He^d»„„dd«^^^^^ 

^ •^ ^P^^'^'^t^on derflir die Flash Prno^o«, • . 

I>a~ g^. ^i^ ^ r-S^™.- u„d 

U 2„„,d„„„g d«. Speiol-crbiaclce ^ d„ Speiche™ des Mi,c™=„„^„ers des 
Steuergems, also z. B. zu den ROM- un6 FIash-B.Mein.„ 

b1. no^:X:::I~"' --»«^"-"-^o.de™„ge„. . 

We..e«e.desWge...z„.r^reZ:rn^:;^^^^^^^ 

^b.W„s^^„,^,eM„„r.de,tWngez„,scaendie.„s„Ls^^^ 



2.2 
2.3 

des Boot 
Blocks 
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2.4 Speziflkation von Subzustanden fur das LOschen und Programmieren von 
rIash-Segmenten 

2.5 Speziflkation der tJbergSnge zwischen den SubzustSnden und der 

Ubergangsbedingungen 

Schritt 3: Cberprufung der Verfiigbarkeits,, Sicherheits- und 
Zuverlassigkeitsanforderungen 

fur jeden Zustand und jeden iibergang des Zustandsautomaten bei erfolgrelchem und 

erfolglosem/fehlerhaften Durchlaufen des Zustandes. 

ggf. Wiederho.ung der Schritte 2. 1 bis 2.5 und Korrektur des spezifizierten Ablaufs fdr die 
r lash-Programm ierung. 
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ROBERT BOSCH GMBH. 70442 Stuttgart 



gEi^on des Ab.anfs des Sof^vw T TptejU^^kldmimche Steue..e... H..... .... 

■ft-ogrammierung iihftr g^r.vqe Schn.ttcf^iu» 



Zusammenfassung 



ub,rs,ch,l,ch fetgeleg, we^en. wobei auch die gefc^^en Sichert^ts- „„d 
Zuverlteigkeiteanfordcn,.g«, bertlclcsichtigt weri™ k«nnen. 
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^ Bustreiber 



Hardware 
Abstraction 
Layer 



treiber l^,' (HAL) 

J ' - .r^. -v- -r-: -v; • ^ ■ ^ ^» 



1? 




Software-Architektur fUr SteuergerSte 
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Steuergerat 



Mikro- 
prozessor 



ROM 



FJash 



»T7 



RAM 



Serielle 
Schnitt- 
stelle 



nicht 



FJash- 



Flash- 



progi^mierbar Segment A Segment B 



.V O 

' it-- " 



-v^:^: 



ROM 



Flash 



-r S OfF-Board-Diagnose- 
schnittstelle 



Flash- 
Segment C 

A 



Bild 2: 
Datenstand 



Speicher^uteilung ftir Start Up-Block. Boot-Block. Prog.^^. und 
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1 r 

Zeitt 



i-Jash-Programmier-l I 

werlczeug MikrocontrolJer 



Authentisierung 
SignaturprUfung 



Bild 3: 
Missbrauch 



Anfrage 

^ RUckmeldung 

Anfrage 

' 

^ Rtlckmeldung 

Anfrage ^ 
^ RUckmeldung 

Start 



^ ROckmeldung 

Start 

' ^ — 

^ RUckmeldung 

Anfrage 

■ 

^ RUckmeldung 



^lausibiJitatsprUfung 



Authentisierung 



LCschen von Flash-Segmenten 
Programmieren von Flash-Segmenten 
SignaturprUfung 

SicherheitsmaBnahmen zun, Schutz der FIash.P„,g,aenmierung 



vor 



nicht ISschbar 





I'i-. i 


if 






■w- 





ROM 



Flash- Flash- 
segment A segment B 




•u >. > 



Flash- 
segment C 



Kg 
^9 ^ 



Plash 
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Identifikation des SteueiBertts 
und Obeigang in den Betriebszustand 
..Software Update" 



Mpehler erkannt" 



Auth entisierung 



«Fehier erkannt" 



SignaturprOfijng ^ 

(Prttfiing der Datenkonsistenz Qber Hardware-/^ >^^h\cr crkamV^ 

:JX)graminsta ndsVDa tenstand. .Logisti^^ J 



r 



LOschen des Prog rammstandes ) 
t ' 



Programmiere n des Progtammstandesl 
+ ' 



SignaturprO fiing fUr Proeramm.ctnnw 1 .J^ehler erk annf 



Laschen des Datenstandes 



JProgrammieren des Datenstandes 



[ Signaturprgfung ftir Datenstand 



„FehIer erkannt" 



r 



Ubeigang in den Anfangszustand 
, dui'ch Reset 



] [ 



Abbruch 
mit Fehlermeldung 



„„d D^'a""' ''^ Boot-BIocks bei der Flash-P„8^„,ie„ng von 
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Flash- Flash- Flash- 
Segment A Segment B Segment C 



(9 



FJash 




Legende: 

(a) Aktiver Boot-Block 
~ ^ Kopiervorgang 



Schritt 1 — 



Schritt2 



Flash 



1© 



£M3j 



mwi 



Schritt 3 — 




Bild 6: 



Schritte bei der Flash-Programmierung des Boot-Blocks 



RAM 
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